近日,安全研究人员披露了Anthropic公司Claude浏览器扩展中存在的一个高危漏洞,攻击者仅需诱使用户访问特定网页,即可在用户无感知的情况下触发恶意提示注入攻击。
漏洞原理分析
Koi Security的安全研究员Oren Yomtov向The Hacker News提供的报告指出:“该漏洞允许任意网站静默地向这款AI助手注入提示,效果就如同用户自己输入的一样。整个过程无需用户点击,也不会触发任何权限提示。只要访问恶意页面,攻击者就能完全控制你的浏览器。”
这个高风险漏洞是由两个底层安全缺陷串联形成的:
- 过于宽松的源白名单机制:扩展程序内存在一个配置,允许任何匹配
*.claude.ai 模式的子域向Claude发送并执行提示。
- 第三方组件的DOM型XSS漏洞:托管在
a-cdn.claude[.]ai 子域上的Arkose Labs验证码组件,存在一个基于文档对象模型(DOM)的跨站脚本(XSS)漏洞。
攻击实现方式
具体来说,XSS漏洞使得攻击者能够在 a-cdn.claude[.]ai 这个可信子域的上下文中执行任意的JavaScript代码。利用这一行为,攻击者可以注入JavaScript脚本,进而向Claude扩展发送精心构造的提示。
关键在于,扩展程序仅会校验请求是否来源于其白名单域。一旦请求来自 *.claude.ai,扩展就会认为这是合法用户操作,并将攻击者注入的恶意提示显示在Claude的侧边栏中。
Yomtov进一步解释道:“攻击者的恶意页面会在一个隐藏的 <iframe> 中嵌入存在漏洞的Arkose组件,然后通过 postMessage 发送XSS有效载荷。一旦脚本被注入,它就会触发向扩展程序发送提示的指令。整个过程中,受害者完全不会察觉。” 这种攻击方式充分利用了现代安全/渗透/逆向研究中常见的“信任链污染”思路。
潜在危害
成功利用此漏洞可以使攻击者达成多种恶意目的,危害极大:
- 窃取敏感数据:例如窃取用户的访问令牌。
- 获取对话历史:读取用户与AI助手的全部对话记录。
- 冒用身份执行操作:在用户不知情的情况下,冒充其身份发送邮件、索取机密信息等。这表明一个能够深度集成浏览器功能的AI扩展,其安全问题直接影响用户的数字资产安全。
修复进展
在2025年12月27日收到负责任的漏洞披露后,Anthropic迅速响应,为Chrome扩展部署了补丁。新补丁强制实施了严格的源检查,要求请求必须精确匹配 claude[.]ai 主域,而非之前的宽松子域匹配模式。第三方服务提供商Arkose Labs也于2026年2月19日修复了其端的XSS漏洞。
Koi Security在报告中强调:“AI浏览器助手的功能越强大,它作为攻击目标的价值就越高。一个能够导航浏览器、读取用户凭证并代表用户发送邮件的扩展程序,本质上就是一个自主的Agent。而这个Agent的安全性,完全取决于其整个信任边界中最薄弱的那个环节。” 对于广大开发者和安全团队而言,深入理解此类复杂的安全/渗透/逆向攻击链,是构建健壮防御体系的关键。
参考来源:
Claude Extension Flaw Enabled Zero-Click XSS Prompt Injection via Any Website
https://thehackernews.com/2026/03/claude-extension-flaw-enabled-zero.html | 
发表于 3 小时前
|
查看: 2|
回复: 0
